Digression Installation parefeu (iptables & ip6tables) "pour les nuls"

Support Debian
#515

@ricardo: Alors, à moins que je ne me trompe sérieusement …

Deux choses à gérer :

1/Il te faut envoyer, cela passe par SMTP(S?), donc à moins d’un changement érigé et dicté par le serveur du FAI, c’est le port 25 TCP, voire 465 TCP - pour sa version S - en sortie …
Il te faut bien-sûr autoriser les paquest relatifs ou établis en entrée correspondants.

2/ Autoriser l’entrée, protocole TCP, port 993, si tu ne souhaites ABSOLUMENT la connexion sur ce port - tu n’es en rien obligé d’avoir le port 143, et 993 sur lesquels les sockets s’ouvrent.
Il te faut bien-sûr autoriser là, aussi, les paquets relatifs et/ou établis, en entrée, comme en sortie.

Voili, voilou …
PS : Ne pas hésiter à corriger, si je me suis tromper

#516

Les protocoles POP et IMAP ne servent que pour relever le courrier d’une boîte aux lettres. Donc à moins que ton serveur ne traite que des mails locaux ou les récupère sur d’autres serveurs de courrier par fetchmail ou équivalent, il va bien falloir un moyen de lui envoyer des mails depuis l’extérieur. C’est le rôle du protocole SMTP, qui utilise le port TCP 25 (en clair ou chiffrement explicite) ou 465 (chiffrement implicite).

#517

Dans le changelog du noyau 2.6.36 :

commit c68cd6cc21eb329c47ff020ff7412bf58176984e
Author: Patrick McHardy kaber@trash.net
Date: Thu Jun 17 06:12:26 2010 +0200`

netfilter: nf_nat: support user-specified SNAT rules in LOCAL_IN`

Je reconnais que l’intitulé du patch n’est pas très parlant, et ce changement ne semble pas avoir été jugé assez important pour être mentionné par kernelnewbies.
http://kernelnewbies.org/Linux_2_6_36

Une phrase plus explicative est cachée au milieu de la description longue :

This patch adds a new INPUT chain to the NAT table and changes the
targets performing SNAT to be usable in that chain.
#518

Merci à vous deux.
Donc autorisation 25 et 993.

#519

Salut tous,

J’ai un pc equipé avec du filaire et une carte wifi, selon si je me trouve au domicile j’utilise le filaire et en dehors le wifi, comment adapté ce script ?

Merci

#520

Regarde donc ce post : Pare-feu IPv4/IPv6, versions bureau et serveur

Tu as exactement ce qu’il te faut pour une machine !
C’est bien sûr un script de base, à modifier selon tes besoins, mais dans le cas que tu décris, il ne devrait pas y avoir de modifications.

#521

Ok, merci .

#522

De rien.
Juste pour ton info : quand tu veux juste dire “Merci”, tu as l’icône en forme de coeur qui suffit - à moins que je ne me trompe :stuck_out_tongue:
Bonne journée.

2 J'aime
#523

Tu aimes qu’on t’aime :grinning:

1 J'aime
#524

“Ohhhh, ouiiii”
“Qui n’aime pas être aimé ?!” :smiley:

#525

done :wink:

#526

Si le script ne fait pas référence à une interface particulière (sauf lo) et donc traite toutes les interfaces de la même façon et si c’est ce que tu veux, alors il n’a pas besoin d’adaptation.

C’est différent si tu veux appliquer des règles différentes sur les interfaces ethernet et wifi, par exemple autoriser des connexions entrantes et sortants sur l’interface ethernet parce que tu fais confiance à ton réseau local, et filtrer plus strictement sur l’interface wifi.

#527

Bonjour à tous,

Je me suis convaincu que ce forum était pour moi “pour les nuls”, du coup j’ai osé l’inscription et je me lance pour poser mon problème en espérant votre bienveillance. En effet en ce qui concerne le monde de linux, en dehors de apt-get update et install, je suis vite dépassé. En outre j’avoue que je ne connais rien en matière de réseau. Du coup, comme on dit je comprends vite mais il faut m’expliquer longtemps…un vrai boulet :slight_smile:
Pour être bref j’ai installé tant bien que mal squid3. Il fonctionne puisqu’il bloque la liste de domaines que j’ai créé en suivant plusieurs tutos. Mon problème c’est qu’il fonctionne uniquement en paramétrant iceweasel. Je suis obligé de coché “configuration manuelle du proxy” et de renseigner l’adresse ip et le port 3128. Quant à Chromium j’ai le message suivant "Lorsque vous exécutez Google Chrome dans un environnement de bureau compatible, les paramètres proxy du système sont utilisés. Cependant, soit votre système n’est pas compatible, soit un problème est survenu lors du lancement de votre configuration système."
Donc pour résumer sur chrome ça ne fonctionne pas et sur iceweasel n’importe qui peut décocher la config manuelle. J’ai vu qu’il fallait rendre alors le proxy transparent en rajoutant d’une part “transparent” après le port 3128 dans le fichier squid.conf puis en rajoutant des règle iptables…c’est alors que je suis tombé sur "installation parefeu “pour les nuls”. Le problème est que j’ai beau suivre le tuto en le combinant avec d’autres plus spécifiques à squid, il n’y a rien à faire, je n’arrive pas à rediriger le trafic internet vers le 3128 en “transparent”. Est ce que quelqu’un aurait l’amabilité de m’aider et de m’expliquer comment procéder (si possible simplement) ? Dernière précision il s’agit d’un ordinateur personnel branché derrière une freebox. Si je me suis trompé de section je m’excuse et dans ce cas merci de me préciser ou poster ma question.

Cordialement,

Asno

#528

J’ai oublié de préciser que je suis sous Debian Jessie 8.4 (3.16.0-4-amd64) et que ma version de squid est la 3.4.8.

#529

Ouvre un nouveau sujet car ce que tu demandes est un cas particulier. Tu n’as pas besoin d’un pare-feu complet.

Et aère ton message. Un gros pavé monolithique de 20 lignes ne donne pas envie de lire.

#530

Je ne ssuis pas trop présent en ce moment mais j’ai l’impression que notre ami est parti

#531

Non je ne suis pas parti…J’ai été discipliné j’ai écouté notre ami PascalHambourg et j’ai ouvert le sujet suivant : Configuration proxy transparent Squid3
J’attends que quelqu’un veuille bien me répondre.

#532

Je suis allé voir ton lien mais malheureusement, je ne te serai d’aucun secours car je ne connais pas.
Sorry

#533

Merci quand même…je patiente.

#534

Ben dites donc ca doit faire longtemps que vous n’avez pas ouvert un livre, un article scientifique ou même un journal car franchement il n’y rien de choquant dans le paragraphe de cette personne…mais c’est vrai que 20 lignes sans une faute ca doit en etrangler plus d’un par içi

Ok je vais etre viré sans doute…bises

ps: @asno: vous rédigez bien